SlideShare una empresa de Scribd logo

アイデンティティ (ID) 技術の最新動向とこれから

Tatsuo Kudo
Tatsuo Kudo

Prepared for 2018/03/23 クラウド時代の次世代認証セミナー http://openstandia.jp/event/event20180323.html

Internet
1 de 36
Descargar para leer sin conexión
アイデンティティ(ID)技術の最新動向とこれから 2018年3月23日 NRIセキュアテクノロジーズ株式会社 サイバーコンサルティング部 ID&APIコンサルティングチーム 工藤達雄
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 1  工藤達雄 https://www.linkedin.com/in/tatsuokudo  サン・マイクロシステムズ (1998~2008)  野村総合研究所 (2008~)  OpenIDファウンデーション・ジャパン (2013~2014)  NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とするコンサルティングに従事 自己紹介
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. アイデンティティ & アクセス管理 (IAM)をとりまく状況
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 3 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証 アイデンティティ & アクセス管理 (IAM)の役割
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 4 アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ連携 / SSO エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 5 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 6 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 7 API サーバー アイデンティティ & アクセス管理 (IAM) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 8 最近のIAMのユースケース  「アイデンティティこそがペリメーター」  ネットワークや端末ではなく、ユーザーのアイデンティティを起点に アクセス制御を行うべきという考えかた  “BeyondCorp”  Google社は従業員向けシステムをすべてパブリックに配置し、ユー ザーとデバイスのアイデンティティを用いてアクセスを制御 セキュリティ & IAM Source: Cloud Identity Summit 2012 TOI http://www.slideshare.net/tkudo/cis2012toi, BeyondCorp: Beyond “fortress” security https://conferences.oreilly.com/security/sec-ny/public/schedule/detail/61327
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 9 最近のIAMのユースケース  ユーザーからエッジゲートウェイ、サービスメッシュ、既存システムに至るまで、エンドツーエンドのアイデンティティが必要になる マイクロサービスアーキテクチャ & IAM 従来の3層アーキテクチャ これからのマイクロサービスアーキテクチャ • 既存システムの前段に、外部向けAPIの管理を行う層と、バックエンド接続のイ ンテグレーション層を配置 • ユーザー(APIクライアント)によらず単一のAPIを提供 • 外部向けのAPI管理層とは別に、マイクロサービスがそれぞれ自前のAPIゲート ウェイ(”side car”)を持つ → サービスメッシュ • エッジゲートウェイが、APIクライアント(デスクトップ、モバイル、パートナー、…) の特性に適したAPIセットを提供 Source: Microservices Solution Patterns https://medium.com/microservices-learning/microservices-solution-patterns-3a58526dbc9e
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 10 最近のIAMのユースケース  ユーザーの設定や好みを、所有する・しない、あるいはクルマである・ないにかかわらず、移動手段に持ち込んでパーソナライズするこ とが期待される。また一方で、クルマに対してアクセスする人・組織が多様になっていく IoT & IAM Source: Key Success Factors for Connected Vehicle, Ride-share and Multi-Modal Transportation Models https://www.slideshare.net/covisint/key-success-factors-for-connected-vehicle-rideshare-and-multimodal-transportation-models
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 11 最近のIAMのユースケース  ユーザーの同意に基づいて残高参照や取引機能をサードパーティに提供する「オープンAPI」への取り組みが広がっている Fintech & IAM Source:オープンAPIのあり方に関する全銀協の検討状況 http://www.fsa.go.jp/singi/singi_kinyu/financial_system/siryou/20161028/02.pdf
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. IAMの進化・分化・融和
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 13 IAMに対する2種類の異なるニーズ 社内システムのIDを統一したい Windowsログオンと連携してSSOしたい 組織・職掌に基づいて権限を付与したい 不要になったID・権限を無効化したい OA機器や什器の手配と連携したい … 数千万ユーザーを管理したい 新規登録者を増やしたい いろいろなアクセス環境に対応したい 不正アクセスを検知・対応したい サービス展開までの期間を短縮したい … EIAM エンタープライズ IAM CIAM コンシューマー IAM
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 14 EIAM (エンタープライズIAM) ユーザー情報/アクセス権限情報の散在はエンドユーザー/運用の双方にとって問題となる システム A 従業員A 従業員B 従業員C ID パスワード A user_a as09135#$ B 10341 FbPlkh2d C tsato cliaKnGd ID パスワード B 10342 lkqg94sdc C hsawa lkqg94sdc ID パスワード C user_c abcd1234 C rmiki iloveyou システム B システム C ID パスワード 氏名 所属 … user_a as09135#$ 佐藤太郎 営業部 … user_c abcd1234 三木良 経理部 … … … … … … ID パスワード 氏名 ロール … 10341 FbPlkh2d 佐藤太郎 Sales … 10342 lkqg94sdc 沢博美 HR … … … … … … ID パスワード 氏名 拠点 … tsato cliaKnGd 佐藤太郎 東京 … hsawa lkqg94sdc 沢博美 大阪 … rmiki iloveyou 三木良 福岡 … … … … … … システムAのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムAのID/ パスワードで ログイン エンドユーザー側の問題 • 異なるID/パスワードで毎回ログインが必要 • 安易なパスワード文字列や使い回しが横行 • システムが利用可能になるまで時間を浪費 業務(運用)側の問題 • パスワード忘れへの問い合わせ対応 • ID/パスワードのシステム個別の管理 • ユーザ追加・削除対応/ユーザー情報/アクセ ス権限情報の最新化
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 15 EIAM (エンタープライズIAM) ユーザー認証を一元化する「認証基盤」の登場 「認証基盤」 システム A ID パスワード SSO tsato cliaKnGd ID パスワード SSO hsawa lkqg94sdc ID パスワード SSO rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン システムA にアクセス システムB にアクセス システムC にアクセス ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … エンドユーザーが意識するID/パス ワードが単一になるとともに、何度 もログインする必要がなくなる パスワード管理とユーザー認証が 不要になり、運用者の負担が軽減 される 従業員A 従業員B 従業員C
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 16 EIAM (エンタープライズIAM) 「認証基盤」だけでは組織全体のID/アクセス権限を管理しきれない 従業員A 従業員B 従業員C 「統合認証基盤」 システム A ID パスワード SSO tsato cliaKnGd D u101 98LKala@ ID パスワード SSO hsawa lkqg94sdc D u102 lkqg94sdc ID パスワード SSO rmiki p098aPPO D u103 happyday システム B システム C SSO システム ディレクトリ システム ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … システム D ID パスワード 氏 名 … u101 98LKala@ 佐藤 太郎 … u102 lkqg94sdc 沢 博美 … u103 happyday 三木 良 … … … … … … temp changeit 保守 担当 システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン 運用 担当者 追加、変更、 削除、… 認証基盤に集中化できないシステムのID/ アクセス管理が独立して残り続けてしまう ID/アクセス権限情報の管理を運用 担当者に任せてしまっている
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 17 EIAM (エンタープライズIAM) 「認証基盤」+「アイデンティティ管理」 へ 従業員A 従業員B 社外 パートナー 「統合認証基盤」 システム A ID パスワード 共通 tsato cliaKnGd ID パスワード 共通 hsawa lkqg94sdc ID パスワード 共通 rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム 共通ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki iloveyou 三木良 福岡 経理部 Finance … … … … … … システム D 「統合アイデンティティ管理」 アイデンティティ 管理システム 共通ID パスワード 氏 名 … tsato cliaKnGd 佐藤 太郎 … hsawa lkqg94sdc 沢 博美 … rmiki p098aPPO 三木 良 … … … … … … temp changeit 保守 担当 人事情報 システム パート ナー管理 システム 一般 社員 部門長 担当 役員 利用申請 承認 統制状況 の把握 ユーザー情報 /アクセス 権限情報の 設定・検証 マスター情報 の取り込み ユーザー情報/ アクセス権限 情報の設定・検証 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 18 EIAM (エンタープライズIAM) エンタープライズIAMの進化 SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム A システム B システム C オンプレIAM クラウドIAM 社外 環境 パートナー 事務所等 社内 環境 SaaS B システム A システム B システム C オンプレIAM SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム B クラウドIAM 第1世代 伝統的オンプレ中心IAM 第2世代 ハイブリッドIAM 第3世代 クラウド中心IAM V P N V P N ID管理者 ID管理者 ID管理者 G会社 パートナー 多要素 認証 マネージドデバイス 多要素認証 CASB SSO ID同期(ユーザ情報配信)
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 19 CIAM (コンシューマーIAM)  キャリアグレードのディレクトリ・サーバー (circa 2003) CIAMの萌芽は通信業界 Source: @IT:連載 次世代コミュニケーションサービスを担うJAIN(前編)http://www.atmarkit.co.jp/fjava/special/jain01/jain01.html
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 20 CIAM (コンシューマーIAM) たんなる「認証リポジトリ」から、顧客の体験とセキュリティを高めるための役割を担うように • スムーズな新規会員登録 • ログインの省力化・簡略化 • サービスのパーソナライゼーション • レスポンス時間の短縮 • 使いやすいWebサイト/モバイルアプリケーション • … 顧客体験を どう高めるか • リスクベース認証 • 不正検知 • 自己情報のコントロール • … 顧客に安心を どう提供するか
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 21 CIAM (コンシューマーIAM) コンシューマーIAMの機能 Source: The 8 Critical Areas of Consumer Identity and Access Management to Prepare for in 2018 https://www.kuppingercole.com/watch/ciam_critical_areas
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 22 EIAMとCIAMの比較 EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 高 ロール(役割・職掌) 複雑 単純 アプリケーション数 数十~数百 ~数十 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 高 ユーザー認証 確からしさ重視 利便性重視 ビジネスとの関係 業務効率化 売上最大化
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 23  ITのコンシューマライゼーション、APIエコシステム、Bring Your Own、多要素認証、… オーバーラップするEIAMとCIAM EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 → 高 高 ロール(役割・職掌) 複雑 単純 → 複雑 アプリケーション数 数十~数百 ~数十 → 数千 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 → 高 高 ユーザー認証 確からしさと利便性も重視 利便性と確からしさも重視 ビジネスとの関係 業務効率化 売上最大化
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. IAMを構成する技術仕様
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 25 EIAM/CIAMを構成する技術はどちらも同じようなものになってきている Source: Internet of Things Security & Privacy https://www.slideshare.net/ChrisAdriaensen/internet-of-things-security-privacy-82981990 EIAM CIAM いま API認可 WS-* 内製独自仕様 OAuth SSO/ID連携 製品独自仕様 or SAML 内製独自仕様 or SAML or OpenID OpenID Connect ID情報同期 CSV渡し/DB 製品独自仕様 独自データ連 携 SCIM ユーザー認証 製品独自仕様 内製独自仕様 FIDO
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 26 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 27 B2Eにおける適用例 業務 システム 社員 APP ID管理/ SSO/ API管理 ユーザー認証 アクセス試行 API アクセス Slack, Facebook at Work etc. 業務 SaaS アクセス試行 社員・組織情報 の伝播 社員ID情報の 同期 人事 システム 社員IDでクラウドサービスにSSO 業務システムの各種API へのアクセス許可要求 業務システム フロントエンド API ゲートウェイ レガシー 接続
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 28 B2Cサービスにおける適用例 各種API 一般生活者 APP サードパーティ APIクライアント (Webサイトなど) “Google Identity Platform” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 Googleの各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 Google Accountでログイン
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 29 API サーバー OAuthとOpenID Connectとの関係 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 (OpenID Connect) サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 30 金融機関 (サービス事業者) 資産管理サービスにおけるOAuth 2.0とOpenID Connect (OIDC) を用いた認証・認可フローの例 NRI ITソリューションフロンティア Vol.33 No.08 https://www.nri.com/~/media/PDF/jp/opinion/teiki/it_solution/2016/ITSF160802.pdf に加筆 サードパーティはAPIアクセス許可依頼 とユーザー認証依頼を同時に実行 口座所有者 (エンドユーザー) 資産管理FinTech企業 (サードパーティ) サービス事業者はエンドユーザーに アクセス許可を確認 サービス事業者はサードパーティに 「アクセストークン(APIアクセス許可 情報)」と「IDトークン(認証結果)」を返却 サードパーティは認証結果をもとに エンドユーザーの当人確認を行い、 必要に応じてユーザーを新規登録 サードパーティはアクセストークンを 用いてサービス事業者のAPIを呼び出し サービス事業者はエンドユーザーを 認証
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 31 OpenID Foundation “Financial API (FAPI) WG” http://openid.net/wg/fapi/  策定を進めている仕様  APIセキュリティ・プロファイル ▪ Part 1: 「読み出し専用」 API ▪ Part 2: 「読み書き」 API  API仕様 ▪ Part 3: オープンデータAPI ▪ Part 4: 保護対象データAPIおよびスキーマ - 「読み出し専用」 ▪ Part 5: 保護対象データAPIおよびスキーマ - 「読み書き」  認可サーバー、クライアント、 リソースサーバーに対する 「セキュリティ条項 (Security Provisions)」を規定
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 32 これからのアイデンティティ & API セキュリティスタック Source: Forging a Modern Cloud-first Identity Ecosystem for a 125-year-old Startup https://www.slideshare.net/identityhutch/forging-a-modern-cloudfirst-identity-ecosystem-for-a-125yearold-startup アイデンティティ & 認証コンテクスト アイデンティティAPI セッション管理 クライアント登録 サービス・ディスカバリー 署名付きリクエスト アサーション認証 暗号化/署名/鍵 構造化トークン ミティゲーション & プルーフ 拡張認可フロー トークン・イントロスペクション トークン失効 ユーザー/クライアント認可 オブジェクト記法
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. まとめ
Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 34 まとめ 新たなITサービスやアーキテクチャが多数登場する中、 アイデンティ&アクセス管理(IAM)の役割は従来以上に 高まっている エンタープライズIAM(EIAM)とコンシューマーIAM(CIAM) という2種類の異なるIAMがあるが、機能のオーバーラップが 進んでいる EIAMとCIAMは共通のアイデンティティ技術仕様の 採用に向かっている
アイデンティティ (ID) 技術の最新動向とこれから

Recomendados

なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性Tatsuo Kudo
 
他社製品と比較した際のAuth0のいいところ
他社製品と比較した際のAuth0のいいところ他社製品と比較した際のAuth0のいいところ
他社製品と比較した際のAuth0のいいところSatoshi Takayanagi
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Amazon Web Services Japan
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified IDNaohiro Fujie
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎Hitachi, Ltd. OSS Solution Center.
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピックHitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 

Recomendados

なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景なぜOpenID Connectが必要となったのか、その歴史的背景
なぜOpenID Connectが必要となったのか、その歴史的背景Tatsuo Kudo
 
金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性金融APIセキュリティの動向・事例と今後の方向性
金融APIセキュリティの動向・事例と今後の方向性Tatsuo Kudo
 
他社製品と比較した際のAuth0のいいところ
他社製品と比較した際のAuth0のいいところ他社製品と比較した際のAuth0のいいところ
他社製品と比較した際のAuth0のいいところSatoshi Takayanagi
 
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤
Kinesis + Elasticsearchでつくるさいきょうのログ分析基盤Amazon Web Services Japan
 
今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified ID今なら間に合う分散型IDとEntra Verified ID
今なら間に合う分散型IDとEntra Verified IDNaohiro Fujie
 
IDガバナンス&管理の基礎
IDガバナンス&管理の基礎IDガバナンス&管理の基礎
IDガバナンス&管理の基礎Hitachi, Ltd. OSS Solution Center.
 
Keycloakの最近のトピック
Keycloakの最近のトピックKeycloakの最近のトピック
Keycloakの最近のトピックHitachi, Ltd. OSS Solution Center.
 
KeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するKeycloakでAPI認可に入門する
KeycloakでAPI認可に入門するHitachi, Ltd. OSS Solution Center.
 
Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Amazon Web Services Japan
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本Amazon Web Services Japan
 
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #1320210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13Amazon Web Services Japan
 
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo Yahoo!デベロッパーネットワーク
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明FIDO Alliance
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要Naohiro Fujie
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App Mesh20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App MeshAmazon Web Services Japan
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)Amazon Web Services Japan
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャNaohiro Fujie
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介Amazon Web Services Japan
 
CircleCI vs. CodePipeline
CircleCI vs. CodePipelineCircleCI vs. CodePipeline
CircleCI vs. CodePipelineHonMarkHunt
 
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...Tatsuya (達也) Katsuhara (勝原)
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 

Más contenido relacionado

La actualidad más candente

20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本Amazon Web Services Japan
 
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #1320210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13Amazon Web Services Japan
 
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo Yahoo!デベロッパーネットワーク
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向Tatsuo Kudo
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことAmazon Web Services Japan
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門Hiroyuki Wada
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明FIDO Alliance
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO Alliance
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~Tatsuo Kudo
 
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要Naohiro Fujie
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon CognitoAmazon Web Services Japan
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門Naohiro Fujie
 
20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App Mesh20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App MeshAmazon Web Services Japan
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014Nov Matake
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)Amazon Web Services Japan
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャNaohiro Fujie
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)Trainocate Japan, Ltd.
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介Amazon Web Services Japan
 
CircleCI vs. CodePipeline
CircleCI vs. CodePipelineCircleCI vs. CodePipeline
CircleCI vs. CodePipelineHonMarkHunt
 

La actualidad más candente (20)

Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022Infrastructure as Code (IaC) 談義 2022
Infrastructure as Code (IaC) 談義 2022
 
20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本20210526 AWS Expert Online マルチアカウント管理の基本
20210526 AWS Expert Online マルチアカウント管理の基本
 
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #1320210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
20210127 今日から始めるイベントドリブンアーキテクチャ AWS Expert Online #13
 
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo
OpenID Connectとネイティブアプリを取り巻く仕様と動向 Yahoo! JAPANの取り組み #openid #openid_tokyo
 
OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向OpenID ConnectとSCIMの標準化動向
OpenID ConnectとSCIMの標準化動向
 
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのことマルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
 
Keycloak拡張入門
Keycloak拡張入門Keycloak拡張入門
Keycloak拡張入門
 
Fido認証概要説明
Fido認証概要説明Fido認証概要説明
Fido認証概要説明
 
FIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へFIDO2 ~ パスワードのいらない世界へ
FIDO2 ~ パスワードのいらない世界へ
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
 
分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要分散型IDと検証可能なアイデンティティ技術概要
分散型IDと検証可能なアイデンティティ技術概要
 
20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito20200630 AWS Black Belt Online Seminar Amazon Cognito
20200630 AWS Black Belt Online Seminar Amazon Cognito
 
実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門実装して理解するLINE LoginとOpenID Connect入門
実装して理解するLINE LoginとOpenID Connect入門
 
20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App Mesh20200721 AWS Black Belt Online Seminar AWS App Mesh
20200721 AWS Black Belt Online Seminar AWS App Mesh
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
 
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
20190521 AWS Black Belt Online Seminar Amazon Simple Email Service (Amazon SES)
 
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャアイデンティティ管理の基礎~Fim adfsアーキテクチャ
アイデンティティ管理の基礎~Fim adfsアーキテクチャ
 
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
AWSとオンプレミスを繋ぐときに知っておきたいルーティングの基礎知識(CCSI監修!)
 
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
SaaS テナント毎のコストを把握するための「AWS Application Cost Profiler」のご紹介
 
CircleCI vs. CodePipeline
CircleCI vs. CodePipelineCircleCI vs. CodePipeline
CircleCI vs. CodePipeline
 

Similar a アイデンティティ (ID) 技術の最新動向とこれから

InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...Tatsuya (達也) Katsuhara (勝原)
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現Tatsuo Kudo
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014Egawa Junichi
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015Egawa Junichi
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向Tatsuo Kudo
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsTatsuo Kudo
 
AWSでのセキュリティ運用 ~ IAM,VPCその他
AWSでのセキュリティ運用 ~ IAM,VPCその他AWSでのセキュリティ運用 ~ IAM,VPCその他
AWSでのセキュリティ運用 ~ IAM,VPCその他Recruit Technologies
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxmkoda
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」Tatsuya (達也) Katsuhara (勝原)
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Hitachi, Ltd. OSS Solution Center.
 
クラウド事業者に求めるビジネス要件
クラウド事業者に求めるビジネス要件クラウド事業者に求めるビジネス要件
クラウド事業者に求めるビジネス要件雄哉 吉田
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインTatsuo Kudo
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインTakashi Yahata
 
アカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッションアカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッションEgawa Junichi
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)Masanori KAMAYAMA
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~Tomohiro Nakashima
 

Similar a アイデンティティ (ID) 技術の最新動向とこれから (20)

InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
InternetWeek2016 企業を取り巻くDigital Identityの今とこれから - Identity Is The New Perimet...
 
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
NRIセキュアが考える持続可能なID&アクセス管理基盤の実現
 
クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014クラウド過渡期、Identityに注目だ! idit2014
クラウド過渡期、Identityに注目だ! idit2014
 
大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015大学向け認証基盤システム概略と最新技術動向 Axies2015
大学向け認証基盤システム概略と最新技術動向 Axies2015
 
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawawsOAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
 
AWSでのセキュリティ運用 ~ IAM,VPCその他
AWSでのセキュリティ運用 ~ IAM,VPCその他AWSでのセキュリティ運用 ~ IAM,VPCその他
AWSでのセキュリティ運用 ~ IAM,VPCその他
 
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptxお客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
お客様からのセキュリティチェックを乗り越えるための SaaS のアプローチ.pptx
 
クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」クラウド時代の「ID管理」と「認証セキュリティ」
クラウド時代の「ID管理」と「認証セキュリティ」
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
 
クラウド事業者に求めるビジネス要件
クラウド事業者に求めるビジネス要件クラウド事業者に求めるビジネス要件
クラウド事業者に求めるビジネス要件
 
DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化DeNA の AWS アカウント管理とセキュリティ監査自動化
DeNA の AWS アカウント管理とセキュリティ監査自動化
 
FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門FIDO認証によるパスワードレスログイン実装入門
FIDO認証によるパスワードレスログイン実装入門
 
エンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドラインエンタープライズITでのOpenID Connect利用ガイドライン
エンタープライズITでのOpenID Connect利用ガイドライン
 
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドラインOpenID ConnectとSCIMのエンタープライズ利用ガイドライン
OpenID ConnectとSCIMのエンタープライズ利用ガイドライン
 
Security measures
Security measuresSecurity measures
Security measures
 
20141111 themi struct
20141111 themi struct20141111 themi struct
20141111 themi struct
 
アカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッションアカデミックIDaaSの概要とExtic_axies2016出展社セッション
アカデミックIDaaSの概要とExtic_axies2016出展社セッション
 
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
IDaaS を利用すべき理由とエンジニアがおさえておくべきポイント (2021年1月14日)
 
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
なぜ私たちはシステムを侵害から守れないのか?~広く知って欲しい不都合なこと~
 

Más de Tatsuo Kudo

Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Tatsuo Kudo
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachClient Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachTatsuo Kudo
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021Tatsuo Kudo
 
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyAuthlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyTatsuo Kudo
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizdayTatsuo Kudo
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteTatsuo Kudo
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideTatsuo Kudo
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteTatsuo Kudo
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Tatsuo Kudo
 
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要Tatsuo Kudo
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューションTatsuo Kudo
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションTatsuo Kudo
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...Tatsuo Kudo
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019Tatsuo Kudo
 
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可Tatsuo Kudo
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...Tatsuo Kudo
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOIJapan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOITatsuo Kudo
 
Trends in Banking APIs
Trends in Banking APIsTrends in Banking APIs
Trends in Banking APIsTatsuo Kudo
 
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisumTatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17Tatsuo Kudo
 

Más de Tatsuo Kudo (20)

Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
Apigee の FAPI & CIBA 対応を実現する「Authlete (オースリート)」
 
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s ApproachClient Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
Client Initiated Backchannel Authentication (CIBA) and Authlete’s Approach
 
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
In-house OAuth/OIDC Infrastructure as a Competitive Advantage #eic2021
 
Authlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API EconomyAuthlete: API Authorization Enabler for API Economy
Authlete: API Authorization Enabler for API Economy
 
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
銀行 API における OAuth 2.0 / FAPI の動向 #openid #bizday
 
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authleteいまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい (2020 年 2 月) #authlete
 
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_insideAuthlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
Authlete: セキュアな金融 API 基盤の実現と Google Cloud の活用 #gc_inside
 
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with AuthleteFinancial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
 
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
Authorization Architecture Patterns: How to Avoid Pitfalls in #OAuth / #OIDC ...
 
英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要英国オープンバンキング技術仕様の概要
英国オープンバンキング技術仕様の概要
 
オープン API と Authlete のソリューション
オープン API と Authlete のソリューションオープン API と Authlete のソリューション
オープン API と Authlete のソリューション
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューションOAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
 
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
#OAuth Security Workshop 2019 Recap @ #Authlete Partner Meetup Spring 2019
 
APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可APIエコノミー時代の認証・認可
APIエコノミー時代の認証・認可
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
 
Japan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOIJapan/UK Open Banking and APIs Summit 2018 TOI
Japan/UK Open Banking and APIs Summit 2018 TOI
 
Trends in Banking APIs
Trends in Banking APIsTrends in Banking APIs
Trends in Banking APIs
 
銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum銀行APIのトレンド #fapisum
銀行APIのトレンド #fapisum
 
OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17OAuth Security Workshop 2017 #osw17
OAuth Security Workshop 2017 #osw17
 

アイデンティティ (ID) 技術の最新動向とこれから

  • 2. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 1  工藤達雄 https://www.linkedin.com/in/tatsuokudo  サン・マイクロシステムズ (1998~2008)  野村総合研究所 (2008~)  OpenIDファウンデーション・ジャパン (2013~2014)  NRIセキュアテクノロジーズ (2014~) ▪ 現在はデジタル・アイデンティティとAPIを専門とするコンサルティングに従事 自己紹介
  • 3. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. アイデンティティ & アクセス管理 (IAM)をとりまく状況
  • 4. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 3 ユーザー認証 エンドユーザー APP サービス サービス提供 アクセス試行 ユーザー認証 アイデンティティ & アクセス管理 (IAM)の役割
  • 5. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 4 アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ連携 / SSO エンドユーザー APP サービスユーザー認証 サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供
  • 6. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 5 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 APIアクセス認可 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証
  • 7. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 6 API サーバー アイデンティティ & アクセス管理 (IAM)の役割 アイデンティティ・プロビジョニング エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス サードパーティ Webサイト エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 8. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 7 API サーバー アイデンティティ & アクセス管理 (IAM) エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 9. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 8 最近のIAMのユースケース  「アイデンティティこそがペリメーター」  ネットワークや端末ではなく、ユーザーのアイデンティティを起点に アクセス制御を行うべきという考えかた  “BeyondCorp”  Google社は従業員向けシステムをすべてパブリックに配置し、ユー ザーとデバイスのアイデンティティを用いてアクセスを制御 セキュリティ & IAM Source: Cloud Identity Summit 2012 TOI http://www.slideshare.net/tkudo/cis2012toi, BeyondCorp: Beyond “fortress” security https://conferences.oreilly.com/security/sec-ny/public/schedule/detail/61327
  • 10. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 9 最近のIAMのユースケース  ユーザーからエッジゲートウェイ、サービスメッシュ、既存システムに至るまで、エンドツーエンドのアイデンティティが必要になる マイクロサービスアーキテクチャ & IAM 従来の3層アーキテクチャ これからのマイクロサービスアーキテクチャ • 既存システムの前段に、外部向けAPIの管理を行う層と、バックエンド接続のイ ンテグレーション層を配置 • ユーザー(APIクライアント)によらず単一のAPIを提供 • 外部向けのAPI管理層とは別に、マイクロサービスがそれぞれ自前のAPIゲート ウェイ(”side car”)を持つ → サービスメッシュ • エッジゲートウェイが、APIクライアント(デスクトップ、モバイル、パートナー、…) の特性に適したAPIセットを提供 Source: Microservices Solution Patterns https://medium.com/microservices-learning/microservices-solution-patterns-3a58526dbc9e
  • 11. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 10 最近のIAMのユースケース  ユーザーの設定や好みを、所有する・しない、あるいはクルマである・ないにかかわらず、移動手段に持ち込んでパーソナライズするこ とが期待される。また一方で、クルマに対してアクセスする人・組織が多様になっていく IoT & IAM Source: Key Success Factors for Connected Vehicle, Ride-share and Multi-Modal Transportation Models https://www.slideshare.net/covisint/key-success-factors-for-connected-vehicle-rideshare-and-multimodal-transportation-models
  • 12. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 11 最近のIAMのユースケース  ユーザーの同意に基づいて残高参照や取引機能をサードパーティに提供する「オープンAPI」への取り組みが広がっている Fintech & IAM Source:オープンAPIのあり方に関する全銀協の検討状況 http://www.fsa.go.jp/singi/singi_kinyu/financial_system/siryou/20161028/02.pdf
  • 13. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. IAMの進化・分化・融和
  • 14. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 13 IAMに対する2種類の異なるニーズ 社内システムのIDを統一したい Windowsログオンと連携してSSOしたい 組織・職掌に基づいて権限を付与したい 不要になったID・権限を無効化したい OA機器や什器の手配と連携したい … 数千万ユーザーを管理したい 新規登録者を増やしたい いろいろなアクセス環境に対応したい 不正アクセスを検知・対応したい サービス展開までの期間を短縮したい … EIAM エンタープライズ IAM CIAM コンシューマー IAM
  • 15. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 14 EIAM (エンタープライズIAM) ユーザー情報/アクセス権限情報の散在はエンドユーザー/運用の双方にとって問題となる システム A 従業員A 従業員B 従業員C ID パスワード A user_a as09135#$ B 10341 FbPlkh2d C tsato cliaKnGd ID パスワード B 10342 lkqg94sdc C hsawa lkqg94sdc ID パスワード C user_c abcd1234 C rmiki iloveyou システム B システム C ID パスワード 氏名 所属 … user_a as09135#$ 佐藤太郎 営業部 … user_c abcd1234 三木良 経理部 … … … … … … ID パスワード 氏名 ロール … 10341 FbPlkh2d 佐藤太郎 Sales … 10342 lkqg94sdc 沢博美 HR … … … … … … ID パスワード 氏名 拠点 … tsato cliaKnGd 佐藤太郎 東京 … hsawa lkqg94sdc 沢博美 大阪 … rmiki iloveyou 三木良 福岡 … … … … … … システムAのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムBのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムCのID/ パスワードで ログイン システムAのID/ パスワードで ログイン エンドユーザー側の問題 • 異なるID/パスワードで毎回ログインが必要 • 安易なパスワード文字列や使い回しが横行 • システムが利用可能になるまで時間を浪費 業務(運用)側の問題 • パスワード忘れへの問い合わせ対応 • ID/パスワードのシステム個別の管理 • ユーザ追加・削除対応/ユーザー情報/アクセ ス権限情報の最新化
  • 16. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 15 EIAM (エンタープライズIAM) ユーザー認証を一元化する「認証基盤」の登場 「認証基盤」 システム A ID パスワード SSO tsato cliaKnGd ID パスワード SSO hsawa lkqg94sdc ID パスワード SSO rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン SSOのID/ パスワードで ログイン システムA にアクセス システムB にアクセス システムC にアクセス ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … エンドユーザーが意識するID/パス ワードが単一になるとともに、何度 もログインする必要がなくなる パスワード管理とユーザー認証が 不要になり、運用者の負担が軽減 される 従業員A 従業員B 従業員C
  • 17. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 16 EIAM (エンタープライズIAM) 「認証基盤」だけでは組織全体のID/アクセス権限を管理しきれない 従業員A 従業員B 従業員C 「統合認証基盤」 システム A ID パスワード SSO tsato cliaKnGd D u101 98LKala@ ID パスワード SSO hsawa lkqg94sdc D u102 lkqg94sdc ID パスワード SSO rmiki p098aPPO D u103 happyday システム B システム C SSO システム ディレクトリ システム ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki p098aPPO 三木良 福岡 経理部 Finance … … … … … … システム D ID パスワード 氏 名 … u101 98LKala@ 佐藤 太郎 … u102 lkqg94sdc 沢 博美 … u103 happyday 三木 良 … … … … … … temp changeit 保守 担当 システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン システムDのID/ パスワードで ログイン 運用 担当者 追加、変更、 削除、… 認証基盤に集中化できないシステムのID/ アクセス管理が独立して残り続けてしまう ID/アクセス権限情報の管理を運用 担当者に任せてしまっている
  • 18. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 17 EIAM (エンタープライズIAM) 「認証基盤」+「アイデンティティ管理」 へ 従業員A 従業員B 社外 パートナー 「統合認証基盤」 システム A ID パスワード 共通 tsato cliaKnGd ID パスワード 共通 hsawa lkqg94sdc ID パスワード 共通 rmiki p098aPPO システム B システム C SSO システム ディレクトリ システム 共通ID パスワード 氏名 拠点 所属 ロール … tsato cliaKnGd 佐藤太郎 東京 営業部 Sales … hsawa lkqg94sdc 沢博美 大阪 人事部 HR … rmiki iloveyou 三木良 福岡 経理部 Finance … … … … … … システム D 「統合アイデンティティ管理」 アイデンティティ 管理システム 共通ID パスワード 氏 名 … tsato cliaKnGd 佐藤 太郎 … hsawa lkqg94sdc 沢 博美 … rmiki p098aPPO 三木 良 … … … … … … temp changeit 保守 担当 人事情報 システム パート ナー管理 システム 一般 社員 部門長 担当 役員 利用申請 承認 統制状況 の把握 ユーザー情報 /アクセス 権限情報の 設定・検証 マスター情報 の取り込み ユーザー情報/ アクセス権限 情報の設定・検証 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン 共通ID/ パスワードで ログイン
  • 19. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 18 EIAM (エンタープライズIAM) エンタープライズIAMの進化 SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム A システム B システム C オンプレIAM クラウドIAM 社外 環境 パートナー 事務所等 社内 環境 SaaS B システム A システム B システム C オンプレIAM SaaS A 社外 環境 パートナー 事務所等 社内 環境 SaaS B SaaS C システム B クラウドIAM 第1世代 伝統的オンプレ中心IAM 第2世代 ハイブリッドIAM 第3世代 クラウド中心IAM V P N V P N ID管理者 ID管理者 ID管理者 G会社 パートナー 多要素 認証 マネージドデバイス 多要素認証 CASB SSO ID同期(ユーザ情報配信)
  • 20. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 19 CIAM (コンシューマーIAM)  キャリアグレードのディレクトリ・サーバー (circa 2003) CIAMの萌芽は通信業界 Source: @IT:連載 次世代コミュニケーションサービスを担うJAIN(前編)http://www.atmarkit.co.jp/fjava/special/jain01/jain01.html
  • 21. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 20 CIAM (コンシューマーIAM) たんなる「認証リポジトリ」から、顧客の体験とセキュリティを高めるための役割を担うように • スムーズな新規会員登録 • ログインの省力化・簡略化 • サービスのパーソナライゼーション • レスポンス時間の短縮 • 使いやすいWebサイト/モバイルアプリケーション • … 顧客体験を どう高めるか • リスクベース認証 • 不正検知 • 自己情報のコントロール • … 顧客に安心を どう提供するか
  • 22. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 21 CIAM (コンシューマーIAM) コンシューマーIAMの機能 Source: The 8 Critical Areas of Consumer Identity and Access Management to Prepare for in 2018 https://www.kuppingercole.com/watch/ciam_critical_areas
  • 23. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 22 EIAMとCIAMの比較 EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 高 ロール(役割・職掌) 複雑 単純 アプリケーション数 数十~数百 ~数十 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 高 ユーザー認証 確からしさ重視 利便性重視 ビジネスとの関係 業務効率化 売上最大化
  • 24. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 23  ITのコンシューマライゼーション、APIエコシステム、Bring Your Own、多要素認証、… オーバーラップするEIAMとCIAM EIAM CIAM IDの源泉 組織 ユーザー 更新頻度 低 → 高 高 ロール(役割・職掌) 複雑 単純 → 複雑 アプリケーション数 数十~数百 ~数十 → 数千 ユーザー数 数千人~数十万人 数百万人~数億人 ユーザー環境の多様性 低 → 高 高 ユーザー認証 確からしさと利便性も重視 利便性と確からしさも重視 ビジネスとの関係 業務効率化 売上最大化
  • 25. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. IAMを構成する技術仕様
  • 26. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 25 EIAM/CIAMを構成する技術はどちらも同じようなものになってきている Source: Internet of Things Security & Privacy https://www.slideshare.net/ChrisAdriaensen/internet-of-things-security-privacy-82981990 EIAM CIAM いま API認可 WS-* 内製独自仕様 OAuth SSO/ID連携 製品独自仕様 or SAML 内製独自仕様 or SAML or OpenID OpenID Connect ID情報同期 CSV渡し/DB 製品独自仕様 独自データ連 携 SCIM ユーザー認証 製品独自仕様 内製独自仕様 FIDO
  • 27. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 26 API サーバー オープン標準 “FIDO” “SAML” “OpenID Connect” “OAuth” “SCIM” エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 サービス提供 ユーザー認証 アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト アクセス試行 認証依頼 認証結果提供 エンドユーザー / 管理者 ユーザー情報 追加・変更・削除 ユーザー情報 同期
  • 28. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 27 B2Eにおける適用例 業務 システム 社員 APP ID管理/ SSO/ API管理 ユーザー認証 アクセス試行 API アクセス Slack, Facebook at Work etc. 業務 SaaS アクセス試行 社員・組織情報 の伝播 社員ID情報の 同期 人事 システム 社員IDでクラウドサービスにSSO 業務システムの各種API へのアクセス許可要求 業務システム フロントエンド API ゲートウェイ レガシー 接続
  • 29. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 28 B2Cサービスにおける適用例 各種API 一般生活者 APP サードパーティ APIクライアント (Webサイトなど) “Google Identity Platform” アクセス試行 サービス提供 ハードウェアを用いた二要素認証 アクセス試行 Googleの各種APIへの アクセス許可要求 APIアクセス サードパーティ Webサイト アクセス試行 Google Accountでログイン
  • 30. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 29 API サーバー OAuthとOpenID Connectとの関係 エンドユーザー APP サードパーティ APIクライアント (Webサイトなど) サービス アクセス試行 APIアクセス 許可要求 APIアクセス 許可 APIアクセス サードパーティ Webサイト ユーザー認証 アクセス試行 認証依頼 認証結果提供 アイデンティティ連携 (OpenID Connect) サードパーティに「いまアクセス してきたユーザーに関する情報」 を提供する APIアクセス認可 (OAuth) サードパーティに「ユーザーに 成り代わってアクセスをする ための許可証」を提供する 扱う情報が異なる
  • 31. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 30 金融機関 (サービス事業者) 資産管理サービスにおけるOAuth 2.0とOpenID Connect (OIDC) を用いた認証・認可フローの例 NRI ITソリューションフロンティア Vol.33 No.08 https://www.nri.com/~/media/PDF/jp/opinion/teiki/it_solution/2016/ITSF160802.pdf に加筆 サードパーティはAPIアクセス許可依頼 とユーザー認証依頼を同時に実行 口座所有者 (エンドユーザー) 資産管理FinTech企業 (サードパーティ) サービス事業者はエンドユーザーに アクセス許可を確認 サービス事業者はサードパーティに 「アクセストークン(APIアクセス許可 情報)」と「IDトークン(認証結果)」を返却 サードパーティは認証結果をもとに エンドユーザーの当人確認を行い、 必要に応じてユーザーを新規登録 サードパーティはアクセストークンを 用いてサービス事業者のAPIを呼び出し サービス事業者はエンドユーザーを 認証
  • 32. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 31 OpenID Foundation “Financial API (FAPI) WG” http://openid.net/wg/fapi/  策定を進めている仕様  APIセキュリティ・プロファイル ▪ Part 1: 「読み出し専用」 API ▪ Part 2: 「読み書き」 API  API仕様 ▪ Part 3: オープンデータAPI ▪ Part 4: 保護対象データAPIおよびスキーマ - 「読み出し専用」 ▪ Part 5: 保護対象データAPIおよびスキーマ - 「読み書き」  認可サーバー、クライアント、 リソースサーバーに対する 「セキュリティ条項 (Security Provisions)」を規定
  • 33. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 32 これからのアイデンティティ & API セキュリティスタック Source: Forging a Modern Cloud-first Identity Ecosystem for a 125-year-old Startup https://www.slideshare.net/identityhutch/forging-a-modern-cloudfirst-identity-ecosystem-for-a-125yearold-startup アイデンティティ & 認証コンテクスト アイデンティティAPI セッション管理 クライアント登録 サービス・ディスカバリー 署名付きリクエスト アサーション認証 暗号化/署名/鍵 構造化トークン ミティゲーション & プルーフ 拡張認可フロー トークン・イントロスペクション トークン失効 ユーザー/クライアント認可 オブジェクト記法
  • 34. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. まとめ
  • 35. Copyright © NRI SecureTechnologies, Ltd. All rights reserved. 34 まとめ 新たなITサービスやアーキテクチャが多数登場する中、 アイデンティ&アクセス管理(IAM)の役割は従来以上に 高まっている エンタープライズIAM(EIAM)とコンシューマーIAM(CIAM) という2種類の異なるIAMがあるが、機能のオーバーラップが 進んでいる EIAMとCIAMは共通のアイデンティティ技術仕様の 採用に向かっている